התערבות זרה מעלה את הסיכון הפנימי ISMS.online

התערבות זרה מעלה את הסיכון הפנימי

מאת ניקולס פירן • 2 מאי 2024

איומי פנימיים הופכים לאחד מאתגרי אבטחת הסייבר הגדולים העומדים בפני ארגוני ה-CISO של ימינו. לאחרונה מחקר Securonix טוען כי 76% מהארגונים חוו פעילות מוגברת של איומי עובדים בחמש השנים האחרונות. עם זאת, למרות זאת, פחות מ-30% מרגישים שיש להם את הכלים להתמודד איתם, ורק חמישית (21%) מפעילה תוכנית איומים פנימיים.

עם זאת, למרות שחלק מהאיומים הולכים ומשתכללים, שיטות עבודה מומלצות בתעשייה המגובות בעמידה בתקנים עולמיים יכולים לסייע רבות בהפחתת הסיכון.

ספקטרום רחב של התנהגות לא נכונה

הדו"ח של Securonix גם בחן כמה מהסיבות העיקריות מאחורי איומי פנים, כולל חוסר הכשרה ומודעות עובדים (37%), עליית טכנולוגיות חדשות (34%), הגנות לא מספקות של אבטחת סייבר (29%), סביבות IT מסובכות (27 %) וצוות ממורמר (25%).

התקריות הללו הופכות למגוונות יותר ותכופות יותר, לדברי אלון קדוגאן, יועץ בחברת שירותי ה-IT Prism Infosec. הוא אומר ל-ISMS.online שהם מייצגים "ספקטרום רחב של התנהגות לא נכונה" הכוללת הכל מגניבת IP ועד למעשי חבלה מכוונים.

"השפל הכלכלי הנוכחי ראה עלייה באנשים שגויסו על ידי כנופיות פשע מאורגנות דרך פלטפורמות מדיה חברתית", הוא מסביר. "יש גם תחרות אינטנסיבית בשוק, מה שמוביל לחברות שפונות לגייס אנשי פנים בחברות מתחרות. זה נובע מהתקדמות בחדשנות טכנולוגית ועם התחרות על ידע כזה בקרב מתחרים גלובליים".

עבור עסקים שנופלים קורבן לאיומי פנים, הנזק יכול להיות משמעותי. Cadogan אומר שהם עלולים לגרום להפסד כספי, שיבוש פעילות, פגיעה במוניטין ותחרותיות מופחתת.

איום מדינת הלאום

בנוסף לעלייה בנפח, איומי פנימיים הפכו גם למורכבים יותר בשנים האחרונות. מקורבים משתפים פעולה כעת עם יריבים זרים כדי להגביר את האפקטיביות של הקמפיינים שלהם.

בה דוח חקירות סיכוני פנים לשנת 2024, המבוססת על למעלה מ-1300 חקירות לקוחות גלובליות, DTEX חושפת עלייה של 70% בלקוחות המעוניינים להפחית את האיום של הפרעות זרות. לטענתה, הנושא משפיע בעיקר על תשתיות קריטיות וארגונים במגזר הציבורי.

Cadogan של Prism Infosec מסביר שמקורבים עשויים לפנות לממשלות זרות לצורך מימון, כלים טכניים מתקדמים, מודיעין ומניעים אסטרטגיים כדי לעזור לשפר את תוצאות ההתקפות שלהם. משאבים כאלה הופכים איומים פנימיים למסובכים והרסניים יותר, הוא מוסיף.

הוא מזהיר כי יריבים זרים לא עובדים רק עם גורמים פנימיים כדי לגשת למידע תאגידי רגיש; הם עשויים גם לכוון לתמרן פעולות של חברה או לחבל במוצרים ובשירותים שלה בהתבסס על "יעדים גיאו-אסטרטגיים רחבים יותר".

"זה מציב דרישות עצומות לנוהלי אבטחה, הדורשים הרבה יותר מסתם בקרות אבטחה פנימיות", מוסיף קדוגן. "זה דורש שיתוף פעולה בינלאומי ושיתוף מודיעין כדי להפחית את הסיכון לרמות מקובלות".

איומי פנימיים אחרים

גניבת קניין רוחני ונתונים היא איום פנימי נפוץ נוסף, המהווה 43% מחקירות הלקוחות של DTEX. לפי הדו"ח, הענפים שנפגעו יותר מכל הם טכנולוגיה (41%), תרופות (20%) ותשתיות קריטיות (14%).

הספק טוען ש-15% מהעובדים עוזבים ארגונים עם IP רגיש, בעוד שהרבה יותר אנשים (76%) מסירים מידע קנייני לא רגיש. אבל זה האחרון יכול להזיק לא פחות לעסקים כאשר הוא מגיע לידיים של פושעי סייבר, מזהיר DTEX.

ג'ייק מור, יועץ אבטחת סייבר גלובלי ב-ESET, מסביר שפושעי סייבר עשויים לנסות לגשת למידע תאגידי רגיש על ידי פנייה לעובדים באתרים כמו לינקדאין. הם עשויים לבקש דברים פשוטים כמו מקלות USB המכילים מידע רגיש או אישורי כניסה בתמורה לתגמולים.

בעוד שאיומים פנימיים רבים הם מכוונים, הם יכולים להיות גם לא מכוונים. למעשה, רבע (24%) מהחקירות של DTEX כללו חשיפה לא מורשית ומקרית, בעוד שהייתה עלייה של 62% בשימוש ביישומים אסורים כמו דפדפנים ותוספי דפדפן ללא סנקציות.

"איומים מקריים עשויים לכלול עובדים שמביאים בטעות תוכנה זדונית או הפעלת דליפת נתונים, שלעתים קרובות ניתן לצמצם באמצעות תוכניות הכשרה שנתיות ואד-הוק לכל הצוות", אומר מור ל-ISMS.online.

שימוש בכלי AI גנרטיביים במקום העבודה יכול גם לגרום לחשיפה מקרית של מידע תאגידי רגיש, במיוחד אם הוא מוזן לצ'אטבוט AI כמו ChatGPT. הרוב המכריע של לקוחות DTEX (92%) מודאגים מהנושא הזה, כאשר 41% מהם מצטטים עובדים שמשתמשים בטכנולוגיה הזו בעבודתם.

"בינה מלאכותית גנרית יכולה לחשוף בטעות נתונים רגישים שהיא אולי למדה במהלך תהליך ההכשרה, ועלולה לחשוף מידע אישי או סודי", מסביר מור.

"איומים פנימיים מאיצים את הסיכון הזה אם אנשים עם גישה מתפעלים את הפלטים של ה-AI או נתוני האימון, מה שעלול להוביל לדליפת נתונים מכוונת או לא מכוונת."

מכיל את האיום

ככל שאיומי פנימיים הופכים נפוצים יותר בכל התעשיות, נקיטת צעדים לזיהוי והפחתתם היא המפתח. זה המקום שבו תקני אבטחת מידע מוכרים בעולם כמו ISO 27001 ו-42001 יכולים לעזור.

Cadogan של Prism Infosec מאמינה שהם מספקים "מסגרת מתודית" המאפשרת לחברות להפחית את הסיכון לאיומי פנים. לדבריו, ISO 27001 בולט מכיוון שהוא מספק גישה משולבת להתמודדות עם אנשים, תהליכים וטכנולוגיה,
כגון הדרכת מודעות לאבטחת עובדים.

"בגרסה האחרונה שפורסמה בשנת 2022, יש תוספת חדשה: control 5.7. מדובר בבקרה ארגונית שמתמקדת במודיעין איומים, לרבות זיהוי מקורות איומים, מהם סופרים איומים פנימיים", הוא אומר.

בינתיים, ISO 42001 יכול לעזור לחברות להבטיח שהעובדים שלהן ישתמשו בכלי AI בצורה אחראית ואתית, הוא אומר.

"המטרה היא להתמודד עם הסיכונים הקשורים לבינה מלאכותית, כמו להבטיח שה-AI לא מושחת באמצעות נתוני ההדרכה שלו - או הרעלת נתונים - ושהוא מספק תוצאות הוגנות וחסרות פניות", טוען Cadogan. "שניהם עלולים לקרות אם המערכת תיפגע על ידי מקורב נוכל."

שון רייט, ראש מחלקת אבטחת יישומים ב-Featurespace, מציין כי ביצוע נכון של יסודות אבטחת סייבר יאפשר גם לחברות להפחית את האיומים הפנימיים ואת השפעתם. בפרט, הוא ממליץ לעקוב אחר עקרון הזכות הקטנה ביותר, המבטיח לעובדים גישה רק למידע שהם צריכים כדי לבצע את עבודתם.

רייט אומר שמעקב אחר סימנים לפעילויות חשודות יעזור לעסקים לזהות גם איומים פנימיים. הוא אומר ל-ISMS.online: "בסופו של יום, אבטחה צריכה להיות גישה שכבתית שבה אם שליטה אחת נכשלת, אחרת צריכה להיות במקום כדי להגביל את ההשפעה של הכשל הזה."

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.